产品介绍
产品概述
产品功能
基于业务的防护策略
本方案能够针对防护对象的业务流量进行持续的周期性的学习和分析,勾勒出业务流量正常曲线,针对不同的业务流量类型、同一业务不同时段,采取不同的防御防护类型和防护策略,实现精细化防护。
精准的异常流量清洗
华为AntiDDoS1000采用大数据分析技术,从60多种维度对流量进行模型学习,一旦某个维度出现流量异常立即启动防护。防护采用七层过滤、行为分析、会话监控等多种技术手段,能精确防护各种Flood类攻击流量、web应用类攻击流量、DNS攻击流量、SSL DoS/DDoS类攻击流量和协议栈漏洞类攻击流量,保护应用服务器安全。
DNS流量智能Cache
华为AntiDDoS1000不但能够精确防护针对DNS服务器的各种漏洞攻击、应用攻击、和Flood类攻击,还可提供DNS Cache功能,缓解DNS服务器大流量下的性能压力。
流行僵木蠕防护
黑客通过木马蠕虫感染网络中的大量主机,分层控制组成僵尸网络,以便其发动各种攻击行为,因此可谓僵尸网络是黑客发起DDoS攻击的温床。华为AntiDDoS1000系列能够支持全球最流行200+种僵尸工具/木马/蠕虫流量识别与阻断,从而达到摧毁僵尸网络的目的。
完善的IPv4-v6双栈防护
2011年2月,IANA宣告IPv4地址分配告罄,企业面临无新的v4地址使用局面,纷纷将IPv6网络建设纳入网络规划建设议程。华为Anti-DDoS解决方案独有的IPv4-v6双栈合一技术,能够同时防御IPv6,IPv4组网内的DDoS攻击,满足双栈DDoS防御需求,帮助用户无忧过渡到下一代网络。
灵活的组网部署方式
AntiDDoS1000系列作为对已有网络的保护措施,必须能够适应客户多种不同的网络环境,并满足客户不同的业务等级要求。
正是基于此,华为AntiDDOS1000系列为客户提供了直路和旁路等多种网络部署方式,客户可以根据业务需要和网络结构灵活选择,具体包括如下方式:
直路接入模式:将清洗检测模块串接在客户需要保护的网络中,直接对客户流量进行检测和清洗。华为基于高性能多核硬件平台,在高效的保证检测和清洗的准确性的同时,也将处理时延做到最小。此外,华为AntiDDOS1000支持Bypass板卡模块,当出现意外时,流量自动透传清洗模块,避免为客户引入新的故障点。
旁路引流模式:将清洗模块部署在客户网络旁路上,对客户流量进行旁路检测,一旦发现DDOS攻击流量,清洗检测中心可以根据客户在管理中心上制定的检测清洗策略执行相应的动作。
产品特点
华为AntiDDoS1000系列产品主要特点:
GUI的图形化管理界面,基于业务的管理和防护模板,简单方便;
业务流量模型、攻击趋势分析、多种告警模式、丰富的报表功能,让管理人员对业务安全态势了如指掌;
支持攻击报文抓取,进而提取攻击特征,支持攻击特征自定义过滤技术,可实现紧急情况下DDoS攻击防御,有效“抵御零日”攻击。
独有“V-ISA”信誉安全体系,可精确防御100+种DDoS攻击,防御类型业界最多;
可提供全球最新 200+种僵木蠕防护,保护用户远离黑客网络;
智能IPv4-v6双栈合一,率先全面支持IPv6攻击防御,首家的同时支持IPv4-v6攻击同时防护的方案;
独有的终端识别技术,可精确识别客户端类型,如:智能终端、机顶盒、普通客户端等,不同客户端采用不同的防护技术,确保不对正常用户产生误判;
基于高性能多核CPU,提供5Gbps的防护性能,满足企业DDoS防护性能需求,轻松应对各种规模应用型DDoS攻击;
采用业务模型流量自学习和逐包深度检测技术,一旦发现流量和报文异常,自动触发防护策略,从攻击发生到防御启动时延小于2秒钟;
高效快速:5Gbps防护性能、秒级防护响应
精确全面:百余种攻击防御和IPv6防护
简单易用:管理简单、报表丰富
方案组成
如下图所示,华为AntiDDOS1000系列由AntiDDoS1500-D、AntiDDoS1520、AntiDDoS1550三款产品组成。其中AntiDDoS1500-D为检测设备,其它2款AntiDDoS1520、AntiDDoS1550均为清洗设备,因客户防护性能不同,在使用时选其一即可。华为的Anti-DDoS解决方案由三部分组成:检测中心即AntiDDoS1500-D、清洗中心(AntiDDoS1520或者AntiDDoS1550)和管理中心(ATIC管理中心软件)。三者通过策略联动和控制联动最终为客户提供管理简单、部署灵活等专业防DDOS解决方案。
检测中心:作为整个解决方案的“触角”,检测中心设备接受管理中心的下发检测策略,并根据该策略实现对网络中DDOS流量的识别和检测,并将检测结果反馈给管理中心。
清洗中心:作为整个解决方案的“响应执行者”,清洗中心根据管理中心下发的控制指令,完成对网络流量中的DDOS攻击流量清洗。
管理中心:作为整个解决方案的“大脑”,用户通过管理中心制定检测策略和清洗策略,并下发至检测中心设备和清洗中心设备上,来控制整个检测和清洗过程。同时,用户还可以通过管理中心生成和查看攻击报表和清洗记录。
注(1):实际方案部署中,检测中心可以是逐包检测技术的检测设备,也可以是Netflow抽样检测设备;
注(2):清洗中心也可以直路串接在用户网络中(无需配置检测中心),起到全面双向防护作用,具体组网可根据用户的实际需求,实现灵活配置。
组网应用
企业IDC安全安全应用场景
将华为的Anti-DDoS解决方案部署在IDC出口处,能够帮助客户解决一下攻击防护:
防御针对DNS服务器的各类攻击,如:DNS协议栈漏洞攻击、DNS反射攻击、DNS Flood攻击、DNS CacheMiss攻击等,同时能够提供DNS Cache功能,缓解大流量DNS服务器压力。
防护针对web服务器类攻击,如:SYN Flood攻击、http Flood攻击、CC攻击、慢速连接类攻击等。
防护针对网游类攻击,如:UDP Flood攻击、SYN Food、TCP类攻击等。
防护针对https服务器的SSL DoS/DDoS类攻击等。
支撑IDC将DDoS防护作为安全业务做运营,可对客户提供资助策略配置和自助报表功能。
产品外观
AntiDDoS1000系列
产品规格
| 型号 | AntiDDoS1520 | AntiDDoS1550 | AntiDDoS1500-D |
|---|---|---|---|
| 固定接口 | 4×GE(RJ45)+4×GE(combo) | ||
| 扩展槽位 | 2×FIC | 2×FIC | 2×FIC |
| 扩展接口卡 | 2×10GE (SFP+);2×10GE(SFP+)+8GE(RJ45);8×1GE (SFP);8×1GE (RJ45); | ||
| Bypass卡 | 4×1GE (RJ45);2链路LC/UPC多模光接口;2链路LC/UPC单模光接口; | ||
| 外型尺寸(W×D×H) | 442×560×43.6 | 442×560×43.6 | 442×560×43.6 |
| 最大功耗 | 150W | 150W | 150W |
| IPv4威胁防御类型 | |||
| 异常过滤 | 黑名单/基于HTTP协议字段的过滤/TCP/UDP/other协议负载特征过滤 | ||
| 协议漏洞威胁防护 | IP Spoofing;LAND攻击;Fraggle攻击;Smurf攻击;Winnuke攻击; Ping of Death攻击;Tear Drop攻击; IP Option控制攻击;IP分片控制报文攻击;TCP标记合法性检查攻击;超大ICMP控制报文攻击;ICMP重定向控制报文攻击;ICMP不可达控制报文攻击等 | ||
| 传输层威胁防护 | SYN flood攻击;ACK flood攻击;SYN-ACK flood攻击;FIN/RST flood攻击;TCP fragment flood攻击;UDP flood攻击;UDP fragment flood攻击;ICMP flood等 | ||
| 扫描窥探型威胁防护 | 端口扫描攻击;地址扫描攻击;TRACERT控制报文攻击;IP源站选路选项攻击;IP时间戳选项攻击;IP路由记录选项攻击等 | ||
| DNS威胁防护 | 虚假源DNS query flood攻击;真实源DNS query flood攻击;DNS reply flood攻击;DNS缓存投毒攻击;DNS协议漏洞攻击等 | ||
| Web威胁防护 | HTTP get /post flood 攻击;CC 攻击;HTTP slow header/post攻击;HTTPS flood攻击;SSL DoS/DDoS攻击;TCP连接耗尽攻击;Sockstress攻击;TCP重传攻击;TCP空连接攻击等 | ||
| VOIP威胁防护 | SIP flood | ||
| 僵木蠕威胁防护 | 200+流行僵尸木马蠕虫防护,如:LOIC、HOIC、Slowloris、Pyloris、HttpDosTool 、Slowhttptest、Thc-ssl-dos、傀儡僵尸、猎鹰DDOS、风云白金、小鱼重装等主流僵尸网络工具。 | ||
| IPv6威胁防御类型 | |||
| IPv6威胁防御类型 | ICMP Fragment报文攻击;黑名单过滤;基于HTTP协议字段的过滤;支持TCP/UDP/other协议负载特征过滤; SYN flood攻击;ACK flood攻击;SYN-ACK flood攻击;FIN/RST flood攻击;TCP fragment flood攻击;UDP flood攻击;UDP fragment flood攻击;ICMP flood攻击;虚假源DNS query flood攻击;真实源DNS query flood攻击;DNS reply flood攻击;DNS缓存投毒攻击;DNS协议漏洞攻击;Fast flux僵尸网络; HTTP get /post flood 攻击;CC 攻击;HTTP slow header/post攻击;HTTPS flood攻击;SSL DoS/DDoS攻击;TCP连接耗尽攻击;Sckstress攻击;TCP重传攻击;TCP空连接攻击;SIP flood等 | ||
| IPv4/IPv6双栈防御 | 支持 | ||
订购信息
AntiDDoS1000系列产品订购信息
| AntiDDoS1000系列订购信息 | ||
|---|---|---|
| AntiDDoS1500-D主机基本配置 | ||
| AntiDDoS1500D-AC | AntiDDoS1500 D-SUBZ31UAH-AMS1500-D交流主机-含HW通用安全平台软件 | 二选一 |
| AntiDDoS1500D-DC | AntiDDoS1500 D-SUBZ31UDH-AMS1500-D直流主机-含HW通用安全平台软件 | |
| AntiDDoS1520主机基本配置 | ||
| AntiDDoS1520-AC | AntiDDoS1520-SUBZ11UAH-AMS1520交流主机-含HW通用安全平台软件 | 二选一 |
| AntiDDoS1520-DC | AntiDDoS1520-SUBZ11UDH-AMS1520直流主机-含HW通用安全平台软件 | |
| AntiDDoS1550主机基本配置 | ||
| AntiDDoS1550-AC | AntiDDoS1550-SUBZ21UAH-AMS1550交流主机-含HW通用安全平台软件 | 二选一 |
| AntiDDoS1550-DC | AntiDDoS1550-SUBZ21UDH-AMS1550直流主机-含HW通用安全平台软件 | |
| AntiDDoS1000系列接口模块集合 | ||
| FIC-2SFP+&8GE | 2*10GE光口+8GE电口卡-含HW通用安全平台软件 | 选配 |
| FIC-8GE | 8GE电口卡-含HW通用安全平台软件 | 选配 |
| FIC-2SFP+ | 2*10GE光口FIC卡-含HW通用安全平台软件 | 选配 |
| FIC-8SFP | 8GE光口FIC卡-含HW通用安全平台软件 | 选配 |
| FIC-8SFP | 8GE光口FIC卡-含HW通用安全平台软件 | 选配 |
| FIC-2LINE-M-BYPASS | 2链路LC/UPC多模光接口Bypass保护卡-含HW通用安全平台软件 | 选配 |
| FIC-2LINE-S-BYPASS | 2链路LC/UPC单模光接口Bypass保护卡-含HW通用安全平台软件 | 选配 |
| DDOS 功能组件 | ||
| ADSCT001WIN01 | Windows中文运行平台(交流服务器,硬盘,加载Windows中文系统及补丁软件)-含操作系统License | 选配 |
| ADSCT001WIN03 | Windows中文运行平台(直流服务器,硬盘,加载Windows中文系统及补丁软件)-含操作系统License | 选配 |
| NS19MKM00 | 键盘&鼠标(USB)-19英寸液晶显示器 | 选配 |
| AntiDDoS管理中心 | ||
| LIC-ADS-NOFA00 | AntiDDoS管理中心-基础功能汇总项-含HW通用安全平台软件 | 必配 |
声明:
1、江苏网术科技有限公司所提供产品全部为原厂正规产品,我司不出售翻新机,二手机,等残次品;硬件保修政策及时长按设备原制造厂执行,支持三包规定。
2、价格:官网上列出的价格为含增值税专用发票价格;硬件设备产品含税13%,工程服务含税9%,技术服务含税6%。
3、服务:网站标明的价格为商品本身含税价格,不含其它设定和安装服务;如需要安装设定服务请联系销售人员另行报价。无价格的商品为按需配置的项目商品,需联络销售人员报价。
4、方案:官网所述之方案非完整方案,且并不适用于所有的应用场景,请勿盲目套用。
5、新闻:大多摘自互联网,如有侵权,请与我们联系。
6、运费:苏州,无锡,南通,常州,泰州,镇江,扬州地区免费送货上门,其它地区快递发货。
7、结算:苏州,无锡,南通,常州,泰州,镇江,扬州地区支持账期和月结的结算方式,具体可与销售人员协商。其它地区均为现金结算。
8、其它:服务申明最终解释权归网术科技所有,其它未尽事项请与我们联系。
